سیستم عامل را انتخاب کنید

ویروس رمزگذاری نحوه حذف ویروس و به روز رسانی فایل های رمزگذاری شده "آزمایشگاه کسپرسکی" درباره ابزار رمزگذاری "WannaCry" ویروس جدید رمزگذاری کسپرسکی

- این یک برنامه ارزان قیمت است که با فعال شدن، تمام فایل های شخصی مانند اسناد، عکس ها و غیره را رمزگذاری می کند. تعداد این گونه برنامه ها حتی زیاد است و هر روز در حال افزایش است. تیلکی در بقیه زمانما با ده ها گزینه رمزگذاری روبرو شدیم: CryptoLocker، Crypt0l0cker، Alpha Crypt، TeslaCrypt، CoinVault، Bit Crypt، CTB-Locker، TorrentLocker، HydraCrypt، better_call_saul، crittt، .da_vinci_code، toste، fff، و غیره. با چنین ویروس‌های رمزگذاری‌کننده، معامله‌گران می‌توانند برنامه و کلید مورد نیاز برای رمزگشایی فایل‌های قدرتمند را، اغلب با مبلغ زیادی، خریداری کنند.

تمدید فایل های رمزگذاری شده به سادگی با پیروی از دستورالعمل ها برای حذف ویروس از رایانه آلوده امکان پذیر است. اگرچه اغلب توانایی رمزگشایی حتی مهم‌تر است، اما باید بدانید که برخی از ویروس‌های رمزگذاری، فایل‌ها را به گونه‌ای رمزگذاری می‌کنند که رمزگشایی آنها بعداً غیرممکن است. و البته پرداخت هزینه برای به روز رسانی فایل های شخصی به سادگی غیرقابل قبول است.

در زیر با جزئیات بیشتری در مورد ویروس های رمزگذاری، نحوه نفوذ آنها به رایانه قربانی و همچنین نحوه حذف ویروس رمزگذاری و تمدید فایل های رمزگذاری شده توسط آن آشنا خواهیم شد.

چگونه یک ویروس رمزگذاری به کامپیوتر نفوذ می کند

انتظار می رود ویروس رمزگذاری از طریق پست الکترونیکی اضافی گسترش یابد. برگه حذف اسناد آلوده چنین برگه هایی با استفاده از یک پایگاه داده بزرگ از آدرس های ایمیل توزیع می شوند. نویسندگان این ویروس سعی در فریب عناوین و تغییر برگه‌ها دارند و سعی می‌کنند کاربر را فریب دهند تا فایل‌های پیوست را به برگه سند باز کند. برخی از صفحات نیاز به پرداخت قیمت را به شما اطلاع می دهند، برخی دیگر به شما یادآوری می کنند که آخرین لیست قیمت را مشاهده کنید، برخی دیگر عکس خنده دار را نشان می دهند و غیره. در هر صورت نتیجه نوشتن یک فایل پیوست این خواهد بود که کامپیوتر شما به ویروس رمزگذاری آلوده شده است.

ویروس رمزگذاری چیست؟

ویروس رمزگذاری یک برنامه بد است که حمله می کند نسخه های فعلی سیستم های عامل خانواده های ویندوزمانند ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8، ویندوز 10. این ویروس ها برای استفاده از حالت های رمزگذاری قوی تری طراحی شده اند، به عنوان مثال RSA-2048 با پسوند کلید 2048 بیت، که عملاً امکان استفاده از کلید brute force را از بین می برد. خود رمزگشایی فایل ها

هنگامی که رایانه آلوده می شود، ویروس رمزگذاری از دایرکتوری سیستم %APPDATA% برای ذخیره فایل های مهم استفاده می کند. برای شروع خودکاروقتی رایانه روشن است، رمزگذار یک ورودی در رجیستری ویندوز ایجاد می‌کند: بخش‌های HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\ CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

بلافاصله پس از راه اندازی، ویروس تمام درایوهای موجود، از جمله درایوهای ذخیره سازی و ذخیره سازی را اسکن می کند تا فایل هایی را که رمزگذاری می شوند انتخاب کند. یک ویروس رمزگذاری از پسوند نام فایل به عنوان راهی برای تعیین گروهی از فایل‌ها استفاده می‌کند که در معرض رمزگذاری قرار می‌گیرند. تقریباً همه انواع فایل ها رمزگذاری شده اند، از جمله پسوندهایی مانند:

0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mdda , .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos،. mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa،. apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، کیف پول، .wotreplay، .xxx، .desc، .py، .m3u، .flv،. js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، pfx.، .pem، .crt، .cer، .der، .x3f، .srw، .pef، ptx، .r3d، .rw2، .rwl، خام، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 , .srf، .arw، .3fr، .dng، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، . rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm،. odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf، .wdb، .wdp، .webdoc،. .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5، .wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg ، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، .x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb،. xdl، .xld، .xlgc، xll.، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .xpm، .xwp، .xx، .xy3، .xyp، .xyw، .y، yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، .zif، .zip، .zw

بلافاصله پس از باز شدن فایل رمزگذاری، پسوند جدیدی ایجاد می شود که اغلب می توان از آن برای شناسایی نام یا نوع رمزگذار استفاده کرد. برخی از انواع برنامه های مخرب می توانند نام فایل های رمزگذاری شده را خودشان تغییر دهند. سپس ویروس ایجاد می کند سند متنیبا نام هایی مانند HELP_YOUR_FILES، README، که حاوی دستورالعمل هایی برای رمزگشایی فایل های رمزگذاری شده است.

ویروس رمزگذاری در طول کار خود سعی می کند توانایی به روز رسانی فایل ها را در سیستم ویکوریست SVC (کپی های سایه ای از فایل ها) ببندد. ویروس برای چه کسانی است حالت فرمانروی ابزار مدیریت برای کپی های سایه ای از فایل ها با کلید کلیک می کند و رویه Ix را شروع می کند دوباره ببینمت. به این ترتیب، تمدید فایل ها از ابتدا با استفاده از کپی های سایه ای آنها عملا غیرممکن است.

ویروس رمزگذاری فعالانه از تاکتیک های هک استفاده می کند، به قربانیان پیامی برای توصیف الگوریتم رمزگذاری می دهد و یک اعلان تهدید را روی دسکتاپ نمایش می دهد. به این ترتیب می توانید از شر صاحب رایانه آلوده خلاص شوید، بدون تردید شناسه رایانه را به آدرس ایمیل نویسنده ویروس ارسال کنید تا سعی کنید فایل های خود را بچرخانید. پاسخ چنین اعلان اغلب مبلغ کوپن و آدرس ایمیل است.

آیا رایانه من به ویروس رمزگذاری آلوده شده است؟

تشخیص اینکه آیا رایانه شما به ویروس رمزگذاری آلوده شده است یا خیر، آسان است. علاقه خود را به گسترش فایل های شخصی خود مانند اسناد، عکس ها، موسیقی و غیره افزایش دهید. اگر پسوند تغییر کرده باشد یا فایل های شخصی شما ناپدید شده باشد، خود را از فایل های ناشناس با نام های ناشناس محروم کنید، کامپیوتر شما آلوده می شود. یکی از نشانه های مهم عفونت وجود فایلی به نام HELP_YOUR_FILES یا README در دایرکتوری های شما است. این فایل حاوی دستورالعمل هایی برای رمزگشایی فایل ها است.

اگر مشکوک هستید که برگه‌ای را باز کرده‌اید که آلوده به ویروس رمزگذاری شده است، اما هنوز هیچ نشانه‌ای از عفونت وجود ندارد، کامپیوتر خود را کلیک نکنید یا دوباره قفل نکنید. لطفاً توضیحات موجود در این بخش راهنما را دنبال کنید. یک بار دیگر تکرار می کنم، مهم این است که رایانه خود را به خطر نیندازید؛ در برخی از انواع نرم افزارهای رمزگذاری، فرآیند فایل رمزگذاری شده در اولین بار روشن شدن رایانه پس از آلوده شدن فعال می شود!

چگونه فایل های رمزگذاری شده با ویروس رمزگذاری را رمزگشایی کنیم؟

اگر این فاجعه رخ داده است، پس نیازی به وحشت نیست! اما باید بدانید که در بیشتر موارد رمزگشا وجود ندارد. این به دلیل الگوریتم های رمزگذاری قوی است که توسط چنین برنامه های بد سوء استفاده می شود. این بدان معنی است که رمزگشایی فایل ها بدون کلید ویژه عملا غیرممکن است. استفاده از روش انتخاب کلید به خودی خود کار نمی کند، از طریق مقدار زیادی از کلید. متأسفانه، تنها پرداخت کل مبلغ دریافتی به نویسندگان ویروس، تنها راه تلاش برای بازیابی کلید رمزگشایی است.

البته، هیچ تضمینی وجود ندارد که پس از پرداخت، نویسندگان ویروس با شما تماس بگیرند و کلید لازم برای رمزگشایی فایل های شما را ارائه دهند. درک این نکته مهم است که با پرداخت پنی به توسعه دهندگان ویروس، شما خودتان آنها را تشویق به ایجاد ویروس های جدید می کنید.

چگونه یک ویروس رمزگذاری را حذف کنیم؟

قبل از ادامه، باید بدانید که هنگام شروع حذف ویروس و آزمایش تمدید مستقلفایل‌ها، با پرداخت مبلغی که به نویسندگان ویروس موجود است، امکان رمزگشایی فایل‌ها را مسدود می‌کنید.

ابزار حذف ویروس کسپرسکی i ضد بدافزار Malwarebytesمی تواند ظاهر شود انواع متفاوتویروس های رمزگذاری فعال هستند و به راحتی می توان آنها را از رایانه حذف کرد، اما آنها نمی توانند فایل های رمزگذاری شده را تجدید کنند.

5.1. با استفاده از Kaspersky Virus Removal Tool ویروس رمزگذاری را پیدا کنید

در ابتدا، این برنامه برای به روز رسانی انواع فایل ها طراحی شده است، اما برای سرعت بخشیدن به فرآیند، توصیه می شود فقط انواع فایل هایی را که باید به روز رسانی کنید غیرفعال کنید. پس از تکمیل انتخاب خود، دکمه OK را فشار دهید.

در پایین پنجره برنامه QPhotoRec، دکمه Browse را پیدا کرده و روی آن کلیک کنید. باید دایرکتوری را انتخاب کنید که فایل های به روز شده در آن ذخیره می شوند. مهم است که از دیسکی استفاده کنید که فایل‌های رمزگذاری شده روی آن به‌روزرسانی‌ها را استخراج نکنند (می‌توانید از درایو فلش یا درایو خارجی استفاده کنید).

برای شروع روند جستجو و به روز رسانی نسخه های خروجی فایل های رمزگذاری شده، روی دکمه جستجو کلیک کنید. این روند زمان زیادی می برد، بنابراین باید صبر و حوصله به دست آورید.

پس از اتمام جستجو، دکمه خروج را فشار دهید. اکنون پوشه ای را که برای ذخیره آخرین فایل های خود انتخاب کرده اید باز کنید.

پدر دایرکتوری هایی به نام های recup_dir.1، recup_dir.2، recup_dir.3 و غیره خواهد داشت. شیم فایل های بیشتربرنامه را پیدا کنید، کاتالوگ های بیشتری وجود خواهد داشت. برای پیدا کردن فایل‌های مورد نیاز، همه فهرست‌ها را یکی یکی ورق بزنید. برای سهولت در جستجوی فایل مورد نیاز، در میان تعداد زیادی به روز رسانی، از سیستم نصب شده استفاده کنید من حدس می زنم ویندوز(بر اساس فایل ها)، و کارکردهای مرتب سازی فایل ها در فهرست ها را فراموش نکنید. به عنوان یک گزینه مرتب سازی، می توانید تاریخ اصلاح فایل را انتخاب کنید، زیرا QPhotoRec، هنگام به روز رسانی فایل، به تجدید این قدرت کمک می کند.

چگونه از آلوده شدن رایانه خود به ویروس رمزگذاری جلوگیری کنیم؟

اکثر برنامه های ضد ویروس فعلی از قبل یک سیستم داخلی برای محافظت در برابر نفوذ و فعال شدن ویروس های رمزگذاری دارند. از آنجایی که رایانه شما برنامه های ضد ویروس ندارد، نصب آن ها الزامی است. پس از خواندن این مطلب می توانید نحوه انتخاب آن را پیدا کنید.

علاوه بر این، برنامه های تخصصی نیز وجود دارد. به عنوان مثال، CryptoPrevent، گزارش.

دسته ای از کلمات پایانی

با پیروی از این دستورالعمل ها، رایانه شما از ویروس رمزگذاری پاک می شود. اگر غذا دارید یا به کمک نیاز دارید، به ما کمک کنید.

خبر یک ویروس رمزنگاری جدید به نام WannaCry (که با نام‌های Wana Decrypt0r، Wana Decryptor، WanaCrypt0r شناخته می‌شود) در سراسر جهان منتشر شده است که اسناد را روی رایانه رمزگذاری می‌کند و برای رمزگشایی آنها 300-600 دلار هزینه دارد. چگونه بفهمیم کامپیوتر شما آلوده شده است؟ چرا باید پول دربیاورید تا قربانی نشوید؟ و برای تناسب اندام چه چیزی باید کسب کنید؟

پس از نصب به روز رسانی، کامپیوتر باید دوباره نصب شود.

ویروس رمزگذاری Wana Decrypt0r چگونه گسترش می یابد؟

اگر یک ابزار ضد ویروس ویروسی را شناسایی کند، یا ویروس شما را شناسایی می کند یا از شما چیزی می خواهد؟ تأیید کنید - مهربان باشید.

چگونه می توانم فایل های رمزگذاری شده با Wana Decryptor خود را به روز کنم؟

در حال حاضر نمی توانیم چیز جدیدی به شما بگوییم. ابزار رمزگشایی فایل هنوز ایجاد نشده است. در حال حاضر، شما فقط نمی توانید بررسی کنید که آیا رمزگشا خراب است یا خیر.

با بینش برایان کربس، متخصص در امنیت رایانهدر حال حاضر، کلاهبرداران بیش از 26000 دلار را برداشتند، بنابراین تنها حدود 58 سال طول کشید تا آنها مجبور به پرداخت باج به کلاهبرداران شدند. آنها اسناد خود را تمدید کردند، کسی نمی داند.

چگونه از انتشار ویروس در وسط جلوگیری کنیم؟

هنگام برخورد با WannaCry، ممکن است مشکلاتی از مسدود کردن پورت 445 در فایروال (صفحه میانی) ایجاد شود، جایی که عفونت از آنجا می آید.

این کشور به راهپیمایی بدخیم خود از طریق مرژا ادامه می دهد و رایانه ها را آلوده می کند و داده های مهم را رمزگذاری می کند. چگونه از خود در برابر رمزگذار محافظت کنیم، ویندوز را در برابر ویندوز محافظت کنیم - وصله ها و وصله هایی برای رمزگشایی و غیرفعال کردن فایل ها منتشر شده است؟

ویروس جدید-cryptor 2017 Wanna Cryهمچنان کامپیوترهای شخصی و شرکتی را آلوده می کند. U خسارت ناشی از حمله ویروس بالغ بر 1 میلیارد دلار است. در طول 2 سال گذشته، ویروس رمزگذاری کمترین آلودگی را داشته است 300 هزار کامپیوتر، بدون توجه به پیشروی و بدون نگرانی وارد شوید.

ویروس رمزگذاری 2017، چیست؟- به عنوان یک قاعده، می توانید "اشتراک" شوید، به نظر می رسد در پیشرفته ترین سایت ها، به عنوان مثال، سرورهای بانکی با دسترسی به حساب بانکی. پس از گم شدن در هارد دیسک قربانی، رمزگذار «قرار می‌گیرد». بابا سیستمسیستم 32. برنامه بلافاصله آنتی ویروس را روشن می کند و در "Autostart" گم می شود" پس از عفونت مجدد پوست، برنامه رمزگذاری وارد رجیستری می شود، رنگ مشکی خود را از سمت راست شروع کنید. رمزگذار شروع به جذب نسخه های مشابه از برنامه هایی مانند Ransom و Trojan می کند. همچنین اغلب اتفاق می افتد خود تکرار رمزگذار. این روند می تواند موقتی باشد، یا می تواند در طول سالها ادامه یابد - تا زمانی که قربانی نامهربان تلقی شود.

ابزار رمزگذاری اغلب خود را به عنوان تصاویر اصلی و فایل های متنی پنهان می کند، جوهر آل همیشه یکسان است - این در حال اجرای یک فایل با پسوند .exe، .drv، .xvd است; اینودی - libraries.dll. اغلب فایل دارای یک نام کاملاً بی گناه است، به عنوان مثال " سند سند"آبو" picture.jpg"، پسوند به صورت دستی نوشته شده است، و نوع واقعی فایل لاگ.

پس از تکمیل رمزگذاری، باید فایل های شناخته شده را با کاراکترهای "تصادفی" در نام و وسط جایگزین کنید و پسوند را به چیزی ناشناخته تغییر دهید - NO_MORE_RANSOM، xdataو دیگران.

ویروس رمزگذاری 2017 Wanna Cry - چگونه گرفتار شویم. می‌خواهم فوراً اشاره کنم که Wanna Cry یک اصطلاح جمعی برای همه ویروس‌های رمزگذاری و امنیتی است، زیرا اغلب در بقیه روز رایانه‌ها را آلوده می‌کند. Ozhe, mova pіde pro iz به دنبال ابزارهای رمزگذاری Ransom Ware مانند: Breaking.dad، NO_MORE_RANSOM، Xdata، XTBL، Wanna Cry باشید..

نحوه سرقت ویندوز از رمزگذاریEternalBlue از طریق پروتکل پورت SMB.

محافظت از ویندوز در برابر رمزگذاری 2017 - قوانین اساسی:

  • به روز رسانی ویندوز، انتقال فعلی به یک سیستم عامل دارای مجوز (توجه داشته باشید: نسخه XP به روز نشده است)
  • نوسازی پایگاه داده های ضد ویروسو فایروال ها در اختیار شماست
  • هنگام دانلود هر فایلی از اهمیت بالایی برخوردار است (میل های "مهر" می تواند منجر به از دست رفتن تمام داده ها شود)
  • نسخه پشتیبان اطلاعات مهمروی بینی تیره

ویروس رمزگذاری 2017: نحوه دانلود و رمزگشایی فایل ها.

با تکیه بر نرم افزار آنتی ویروس، می توانید رمزگشاها را برای یک ساعت فراموش کنید. در آزمایشگاه ها کسپرسکی، دکتر. وب، آواست!و آنتی ویروس های دیگر در حال حاضر ، هیچ راه حلی برای پاکسازی فایل های آلوده پیدا نشده است. در حال حاضر امکان حذف ویروس با یک آنتی ویروس دیگر وجود دارد، اما هیچ الگوریتمی برای برگرداندن همه چیز به حالت عادی وجود ندارد.

از فعالیت ها می توان برای ایجاد رمزگشاها با استفاده از نوع ابزار RectorDecryptor استفاده کرد.، Ale tse نمی تواند کمک کند: الگوریتم رمزگشایی ویروس های جدید که هنوز اضافه نشده اند. همچنین کاملاً ناشناخته است که ویروس چگونه رفتار خواهد کرد، زیرا پس از توقف چنین برنامه هایی دیگر دیده نخواهد شد. اغلب این می تواند منجر به پاک شدن همه پرونده ها شود - برای علم، کسانی که نمی خواهند به بدکاران، نویسندگان ویروس پول پرداخت کنند.

در حال حاضر، موثرترین راه برای معکوس کردن خراج خرج شده، انتقال در آن است. پشتیبانی از برنامه های آنتی ویروس در صورتی که ویکوریست هستید. برای کدام ردیابی، یک برگه ارسال کنید یا به سرعت از یک فرم برای آن استفاده کنید ندای زنگدر وب سایت virobnik پیوست موظف است رمزگذاری را به فایل اضافه کند، زیرا یک کپی از نسخه اصلی است. این به برنامه نویسان کمک می کند تا یک الگوریتم را توسعه دهند. متأسفانه، برای ثروتمندان، یک حمله ویروسی به یک فاجعه کامل تبدیل می شود و هیچ نسخه ای از آن پیدا نمی شود، که وضعیت را بسیار پیچیده تر می کند.

روش های قلبی برای ضد عفونی کردن ویندوز با استفاده از رمزگذاری. حیف است، گاهی اوقات باید به مرحله فرمت کامل هارد دیسک بروید که به سمت شما جذب می شود از نوسیستم عامل اگر تصمیم دارید سیستم را به روز کنید، اگر اجازه ندهید ویروس وارد شود، فایل ها همچنان رمزگذاری خواهند شد.

خود ویروس ها، به عنوان یک تهدید رایانه ای، امروز هیچ کس را غافلگیر نمی کنند. با وجود اینکه قبلاً بوی تعفن به طور کلی روی سیستم نازل شده بود و عملکرد نادرست در عملکرد آن ایجاد می شد، امروزه با ظهور انواع مختلفی مانند ویروس رمزگذاری، این تهدیدات نافذ مهمتر از آنها برای داده کاوی هستند. ممکن است تهدید بزرگتری باشد، از جمله برنامه ها یا برنامه های جاسوسی که برای ویندوز مخرب هستند.

ویروس رمزگذاری چیست؟

خود کد وقتی در یک ویروس کپی خودکار نوشته می شود، تقریباً تمام اهداف پردازش داده ها را با استفاده از الگوریتم های رمزنگاری ویژه رمزگذاری می کند که فایل های سیستم سیستم عامل را ذخیره نمی کند.

در ابتدا، منطق ویروس کاملاً مشخص نبود. همه چیز تنها زمانی مشخص شد که هکرهایی که چنین اپلت هایی را ایجاد کردند شروع به استخراج پول برای به روز رسانی ساختار cob فایل ها کردند. در این حالت، خود ویروس رمزگذاری به دلیل ویژگی های خاص خود به شما اجازه رمزگشایی فایل ها را نمی دهد. برای این کار به یک رمزگشای ویژه نیاز دارید، در صورت تمایل، یک کد، یک رمز عبور یا یک الگوریتم لازم برای به روز رسانی اطلاعات جستجو شده.

اصل نفوذ به سیستم و کد ربات یک ویروس

به عنوان یک قاعده، "دنبال کردن" چنین راهنمای در اینترنت مهم است. دلیل اصلی گسترش "عفونت" پست الکترونیکی در سطح نصب روی یک ترمینال کامپیوتری خاص از برنامه های روی صفحه است: Outlook، Thunderbird، The Bat و غیره. عزیزم، هیچ مشکلی با سرورهای اینترنتی ایمیل وجود ندارد، بوی بد باقی می ماند شما می توانید به سطح بالایی از زاخیست برسید و دسترسی به اهداف برای داده های koristuvach امکان پذیر است h_ba scho در سطح

در سمت راست یک افزونه برای ترمینال کامپیوتر است. زمینه اینجا برای ویروس ها به قدری گسترده است که نمی توان خود را آشکار کرد. درست است، در اینجا می توانید اقدامات احتیاطی نیز ایجاد کنید: در بیشتر شیوع ها، ویروس ها روی خاک باقی می مانند. شرکت های بزرگدر چنین مواردی، می توانید برای دادن کد رمزگشایی، سکه ها را «برداشت کنید». این قابل درک است، و نه تنها در پایانه های رایانه محلی، بلکه در سرورهای چنین شرکت هایی، نه تنها می توان همان فایل ها را ذخیره کرد، بلکه در یک کپی نیز منتقل می شود که به هیچ وجه منجر به کاهش یکباره نمی شود. و سپس رمزگشایی فایل ها پس از یک ویروس رمزگذاری مشکل ساز می شود.

البته، حتی یک کاربر فرامرزی نیز می تواند چنین حملاتی را تشخیص دهد، اما در بیشتر موارد بعید است که ساده ترین توصیه ها را برای یک حساب باز با پسوندهای نوع ناشناخته دنبال کنید. به من بگویید چگونه مشتری پستیبه معنای پیوست با extension.jpg به عنوان استاندارد است فایل گرافیکی، ابتدا باید نصب استاندارد در سیستم را بررسی کنید.

اگر کاری از دستتان برنمی آید، وقتی اسکریپت را با دوبار کلیک باز می کنید (روش استاندارد)، کد فعال سازی شروع می شود و فرآیند رمزگذاری آغاز می شود، پس از آن همان Breaking_Bad (ویروس رمزگذار) نه تنها حذف آن غیرممکن خواهد بود. ، همچنین فایل ها حذف می شوند اگر تهدید به تمدید کنم، تسلیم نمی شوم.

وراثت پنهان نفوذ همه ویروس ها از این نوع

همانطور که قبلا ذکر شد، اکثر ویروس های این نوع از طریق پست الکترونیکی وارد سیستم می شوند. خوب، فرض کنید، یک سازمان بزرگ به جای متن "ما قرارداد را تغییر داده ایم، در پیوست اسکن شده است" یا "فاکتوری برای کالا برای شما ارسال شده است (یک کپی در آنجا) یک برگه کاغذ به یک ایمیل ثبت نام خاص دریافت می کند. " طبیعتاً نرم افزار جاسوسی ناآگاه فایل را باز می کند و ...

تمام پرونده های لازم برای خبرنگار در ریون اسناد اداری، پروژه های چند رسانه ای، تخصصی اتوکد و سایر داده های مهم بلافاصله رمزگذاری می شوند، به خصوص اگر ترمینال رایانه در اقدامات محلی، ویروس را می توان با رمزگذاری داده ها در ماشین های دیگر بیشتر منتقل کرد (این ممکن است به دلیل "دستکاری" سیستم و برنامه های منجمد یا در حال اجرا افزونه ها باشد).

پس از تکمیل فرآیند رمزگذاری، ممکن است خود ویروس سیگنالی منتشر کند، پس از آن ممکن است به شرکت اطلاع داده شود که فلان تهدید به سیستم نفوذ کرده است و می توان آن را رمزگشایی کرد. یا فلان سازمان. از ویروس سرپیچی کنید [ایمیل محافظت شده]در مرحله بعد، می توانید برای خدمات رمزگشایی هزینه کنید و تعدادی فایل را در ایمیل مشتری منتشر کنید که اغلب ساختگی است.

اشکودا با کد کامل

همانطور که کسی هنوز متوجه نشده است: رمزگشایی فایل ها پس از یک ویروس رمزگذاری یک فرآیند دشوار است. لطفاً «سوء» سوء استفاده‌های بدکاران نشوید و فعالیت‌های رسمی را امتحان کنید ساختارهای حاکمیتیوقتی نوبت به مبارزه با بدافزارهای رایانه ای و خلاص شدن از شر آنها می رسد، مطمئن شوید که هیچ مشکلی پیش نمی آید.

اگر همه فایل‌ها را حذف کنید، داده‌های اصلی را از یک دستگاه مهم ایجاد و کپی کنید (البته چون چنین کپی وجود دارد)، در صورت فعال بودن ویروس، همه چیز دوباره رمزگذاری می‌شود. بنابراین خیلی خوب نیست، به خصوص که وقتی یک درایو فلش را در یک پورت USB قرار می‌دهید، رایانه شما نمی‌تواند نشان دهد که ویروس داده‌های روی آن را رمزگذاری می‌کند. مطمئنا هیچ مشکلی وجود نخواهد داشت

اولین رهبر خانواده

اکنون برای اولین ویروس رمزگذاری احترام زیادی قائلم. نحوه فورک و رمزگشایی فایل‌ها پس از درج کد ضمیمه شده، قرار داده شده مانند پیوست ایمیل با پیشنهاد آشنایی، در لحظه ظهور بدون حتی فکر کردن به آن. آگاهی از مقیاس جسارت تنها در عرض یک ساعت به دست آمد.

من عاشقانه آن ویروس را "من" می نامم دوستت دارم" کاربران ناآگاه، پیوست‌ها را به پیام‌های ایمیل باز می‌کنند و فایل‌های چندرسانه‌ای ایجاد نشده (گرافیک، ویدیو و صدا) را حذف می‌کنند. با این حال، چنین اقداماتی مخرب تر به نظر می رسید (باعث آسیب رساندن به کتابخانه های رسانه ای) و بدون دریافت یک پنی برای قیمت.

آخرین تغییرات

در واقع، تکامل فناوری شروع به تبدیل شدن به منبع سود کرده است، به ویژه از آنجایی که بسیاری از سازمان‌های بزرگ بلافاصله برای فعالیت‌های رمزگشایی هزینه پرداخت می‌کنند، بدون اینکه اصلاً به این واقعیت فکر کنند که می‌توانند از این طریق با سکه‌ها کنار بیایند. ، و اطلاعات

قبل از صحبت، از همه پست های "زنده" در اینترنت تعجب نکنید و بگویید: "من مبلغ لازم را پرداخت کردم / پرداخت کردم، آنها یک کد برای من ارسال کردند، همه چیز به روز شد." Nisenitnitsa! همه اینها توسط خود محققان در مورد ویروس با هدف گرفتن "مکنده" بالقوه، پر جنب و جوش نوشته شده است. اما، فراتر از چشم یک تاجر معمولی، مبلغ مورد نیاز برای پرداخت بسیار زیاد است: از صدها تا ده ها هزار یا ده ها هزار یورو یا دلار.

اکنون به بررسی انواع جدیدی از ویروس ها از این نوع می پردازیم که اخیراً ثبت شده اند. همه آنها عملا مشابه هستند و نه تنها در دسته رمزنگاران، بلکه در گروه به اصطلاح پولسازها نیز قابل طبقه بندی هستند. در برخی موارد، به دلیل پیشنهادات تجاری رسمی معلق یا اطلاعات مربوط به کسانی که نگران ایمنی حسابدار یا سازمان هستند، به درستی کار می کند (در پلتفرم رمز پرداخت). چنین ویروس رمزگذاری به راحتی می تواند koristuvach را فریب دهد. اگر می خواهید برای پرداخت کمتر درآمد داشته باشید، همه چیز طبق معمول "جدایی" خواهد بود.

ویروس XTBL

به تازگی ظاهر شده است، می توانید آن را به نسخه کلاسیک رمزگذار بیاورید. معمولاً از طریق اعلان‌های ایمیل وارد سیستم می‌شود که پیوست‌ها را با همان فرمت فایلی که برای محافظ صفحه‌نمایش ویندوز استاندارد است نمایش می‌دهد. سیستم و سرمایه گذار فکر می کنند که همه چیز درست است و برای صرفه جویی در سرمایه گذاری، بررسی را فعال می کند.

حیف است، اما این ما را به مجموعه عظیمی از پیامدها می رساند: نام فایل ها به مجموعه ای از کاراکترها تبدیل می شوند و پسوند اصلی به xtbl. اضافه می شود، پس از آن آدرس ایمیل جستجو شده اعلانی در مورد امکان رمزگشایی پس از دریافت می کند. پرداخت مبلغ مشخص شده (از جمله 5 هزار روبل).

ویروس CBF

این نوع ویروس را می توان یک کلاسیک در ژانر نیز دانست. پس از باز کردن پیوست ایمیل، و سپس تغییر نام فایل های اختصاص داده شده به سرویس گیرنده، افزودن پسوندی مانند .nochance یا .perfect در سیستم ظاهر می شود.

متأسفانه، رمزگشایی یک ویروس رمزگذاری از این نوع برای تجزیه و تحلیل به جای کد در مرحله ظهور آن در سیستم غیرممکن است، زیرا پس از انجام اقدامات خود، تمایل به خود تخریبی دارد. با این حال، همانطور که بسیاری از مردم به آن احترام می گذارند، ابزار جهانی مانند RectorDecryptor کمکی نمی کند. بازم میگم برای پرداختتون رسید بگیرید که دو روز طول میکشه.

ویروس Breaking_Bad

این نوع تهدید از همان طرح پیروی می کند، اما نام فایل ها را در نسخه استاندارد تا پسوند .breaking_bad تغییر می دهد.

این وضعیت تغییر نمی کند. علاوه بر جدیدترین ویروس ها، پسوند دیگری می توان ایجاد کرد - Heisenberg. بنابراین همیشه می توانید همه فایل های آلوده را پیدا کنید. بنابراین Breaking_Bad (ویروس رمزگذار) یک تهدید جدی است. قبل از صحبت کردن، اگر از بسته لایسنس Kaspersky Endpoint Security 10 استفاده کنید، پیامدهایی وجود دارد که به این نوع تهدید اجازه عبور می دهد.

ویروس [ایمیل محافظت شده]

یک تهدید دیگر، شاید جدی ترین، وجود دارد که مستقیماً سازمان های تجاری بزرگ را تحت تأثیر قرار می دهد. به عنوان یک قاعده، یک برگه قبل از قرارداد پستی به هر جایی که می خواهید تغییر دهید می رسد، در غیر این صورت فقط یک فاکتور است. تودرتو می تواند file.jpg اصلی (نوع تصویر)، یا اغلب script.js نهایی (برنامه جاوا) باشد.

چگونه نوع ویروس رمزگذاری را رمزگشایی کنیم؟ با قضاوت بر اساس این واقعیت که برخی از الگوریتم ناشناخته RSA-1024 در آنجا گیر کرده است، به هیچ وجه. همانطور که از نام آن پیداست، می توانید فرض کنید که دارای یک سیستم رمزگذاری 1024 بیتی است. خوب، همانطور که همه به خاطر دارند، امروزه AES 256 بیتی از همه مهمتر است.

ویروس رمزگذاری: نحوه فورک کردن و رمزگشایی فایل ها با استفاده از نرم افزار آنتی ویروس

تا به امروز، هیچ راه حلی برای رمزگشایی از این نوع تهدیدات پیدا نشده است. این معیارها را در زمینه محافظت از آنتی ویروس پیدا کنید، مانند Kaspersky، Dr. وب و Eset نمی توانند کلید را پیدا کنند تا زمانی که در صورت شناسایی ویروس رمزگذاری در سیستم، مشکل ایجاد شود. چگونه فایل ها را دانلود کنیم؟ در بیشتر موارد، از شما خواسته می شود که درخواست را به وب سایت رسمی فروشنده آنتی ویروس ارسال کنید (قبل از سخنرانی، فقط در صورتی که فروشنده نرم افزار دارای مجوز در سیستم موجود باشد).

در این مورد، شما باید تعدادی فایل رمزگذاری شده و همچنین اصل "سالم" آنها را پیوست کنید. به طور کلی، در پشت باستانی بزرگ، افراد کمی کپی از داده‌ها را ذخیره می‌کنند، بنابراین مشکل در دسترس بودن آن‌ها وضعیتی را که قبلاً غیرقابل قبول است فرا می‌گیرد.

راه های ممکن برای شناسایی و حذف تهدیدات به صورت دستی

بنابراین، اسکن تهدیدها با برنامه های آنتی ویروس سنتی، آنها را شناسایی و سپس از سیستم حذف می کند. چه چیز دیگری می توانید با اطلاعات انجام دهید؟

آنها از برنامه های رمزگشای پیروز بر اساس ابزار RectorDecryptor (RakhniDecryptor) که قبلاً شناخته شده است، استفاده می کنند. مهم است که بگویید: من به شما کمک نمی کنم. و با ویروس Breaking_Bad، فقط می توانید شیطنت های زیادی انجام دهید. من محور چرا.

حقیقت این است که افرادی که چنین ویروس‌هایی را ایجاد می‌کنند سعی می‌کنند از خود و آینده دیگران محافظت کنند. با استفاده از ابزارهای رمزگشایی، ویروس می تواند به گونه ای واکنش نشان دهد که کل سیستم "پرواز کند" و حتی با کاهش بیشتر تمام داده های ذخیره شده در هارد دیسک ها یا در بخش های منطقی. بنابراین، این یک درس گویا برای علم برای همه کسانی است که نمی‌خواهند پول بپردازند. فقط افرادی که در آزمایشگاه های رسمی آنتی ویروس هستند از اطلاعات خود محروم هستند.

روش های رادیکال

در این مورد، همانطور که همه قبلاً انجام داده اند، شما باید اطلاعاتی را اهدا کنید. برای از بین بردن کامل تهدید، باید کل هارد دیسک، از جمله پارتیشن های مجازی را فرمت کنید و سپس "عملیات" را دوباره نصب کنید.

متأسفانه راه دیگری وجود ندارد. پیمایش به نقطه ذخیره شده تمدید کمکی نخواهد کرد. ممکن است ویروس همچنان شناسایی شود یا فایل ها رمزگذاری خود را از دست بدهند.

تعویض پیسلیاموف

در نهایت، واضح است که وضعیت به این صورت است: یک ویروس رمزگذاری به سیستم نفوذ می کند، جادوی خود را انجام می دهد و به هیچ وجه درمان نمی شود. سیستم های حفاظتی ضد ویروس برای این نوع تهدید آماده نشده بودند. ناگفته نماند که ویروس را می توان پس از هجوم آن شناسایی کرد یا می توان آن را حذف کرد. در غیر این صورت، اطلاعات به گونه ای رمزگذاری می شوند که غیرجذاب به نظر می رسند. بنابراین می‌خواهم مطمئن باشم که ذهن شرکت‌های نرم‌افزار ضد ویروس همچنان راه‌حلی را پیدا خواهد کرد، اگرچه، با قضاوت بر اساس الگوریتم‌های رمزگذاری، دستیابی به آن بسیار دشوارتر خواهد بود. مایلم ماشین رمزگذاری انیگما را که ناوگان آلمانی در طول جنگ نور دوم داشت را به یاد بیاورم. رمزنگاران عالی تا زمانی که به دستگاه‌ها نرسیدند نتوانستند مشکل الگوریتم رمزگشایی پیام‌ها را حل کنند. پس برو اینجا رو چک کن

آزمایشگاه کسپرسکی درباره ابزار رمزگذاری WannaCry

محققان آزمایشگاه کسپرسکی اطلاعات مربوط به افراد آلوده به یک برنامه رمزگذاری به نام "WannaCry" را تجزیه و تحلیل کردند که در 12 می به شرکت‌های سراسر جهان ضربه زد.

محققان آزمایشگاه کسپرسکی اطلاعات مربوط به افراد آلوده به یک برنامه رمزگذاری به نام "WannaCry" را تجزیه و تحلیل کردند که در 12 مه شرکت‌های سراسر جهان را تحت تاثیر قرار داد. همانطور که در تجزیه و تحلیل نشان داده شده است، این حمله از طریق توزیع جداگانه بولتن امنیتی مایکروسافت MS17-010 راه اندازی شد. سپس یک روت کیت بر روی سیستم آلوده نصب شد و vikorists یک برنامه رمزگذاری راه اندازی کردند.

تمامی راه حل های آزمایشگاه کسپرسکی با احکام زیر، نرم افزار معیوب قربانی این حمله را شناسایی می کنند:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (برای شناسایی این بدافزار، مؤلفه «System Monitoring» مقصر درج شدن بوت است)

برای رمزگشایی داده ها، مجرمان تلاش می کنند باج 600 دلاری را به صورت ارز دیجیتال بیت کوین بپردازند. در حال حاضر، آزمایشگاه کسپرسکی نزدیک به 45000 نمونه حمله را در 74 کشور در سراسر جهان ثبت کرده است. بیشترین تعداد آزمایش عفونت در روسیه پیش بینی می شود.

هنگامی که فایل های شما رمزگذاری شده اند، دسترسی به اطلاعات ارسال شده در اینترنت یا حذف داده های رمزگشایی از برگه های الکترونیکی کاملاً ممنوع است. فایل‌ها با یک الگوریتم ضد رمزگذاری رمزگذاری شده‌اند و نمی‌توانند رمزگشایی شوند، و ابزارهایی که استفاده می‌کنید می‌توانند آسیب بیشتری به رایانه شما و رایانه‌های کل سازمان وارد کنند و احتمال آسیب به رایانه شما را باقی بگذارند. مرحله جدید اپیدمی

اگر متوجه شده اید که رایانه شما به یک عفونت تسلیم شده است، آن را روشن کنید و به جهنم بروید امنیت اطلاعاتبرای دریافت دستورالعمل های بیشتر

  • نصبپچ رسمی موجود استمایکروسافت , که vikorystuvana را در حمله می‌بندد (به‌روزرسانی‌های موجود برای نسخه‌ها را ببینیدپنجره هاXPіپنجره ها2003);
  • پیکربندی مجدد که راه حل خشک در تمام گره های مرز فعال باشد.
  • در نتیجه راه حل آزمایشگاه کسپرسکی، واضح است که نسخه آن شامل مؤلفه و اجزای سیستم نظارت است.
  • اسکن مناطق بحرانی را مطابق با طراحی آزمایشگاه کسپرسکی انجام دهید تا زودتر عفونت های احتمالی یام را تشخیص دهید (در موارد دیگر، تشخیص به طور خودکار ظرف 24 سال انجام می شود).
  • پس از شناسایی Trojan.Win64.EquationDrug.gen، سیستم را مجددا راه اندازی کنید.
  • در آینده، برای جلوگیری از حوادث مشابه، از خدمات اطلاعات تهدید برای شناسایی سریع داده ها در مورد خطرناک ترین حملات و عفونت های احتمالی استفاده کنید.

اطلاعات دقیق تر در مورد حملات WannaCry را می توانید در پست آزمایشگاه کسپرسکی بیابید.